Palo Alto Prisma Cloud CSPM-anslutningsprogram (med Azure Functions) för Microsoft Sentinel
Palo Alto Prisma Cloud CSPM-dataanslutningen ger möjlighet att mata in Prisma Cloud CSPM-aviseringar och granskningsloggar i Microsoft Sentinel med hjälp av Prisma Cloud CSPM API. Mer information finns i Prisma Cloud CSPM API-dokumentationen.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
| Anslut ellerattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | PaloAltoPrismaCloudAlert_CL PaloAltoPrismaCloudAudit_CL |
| Stöd för regler för datainsamling | Stöds för närvarande inte |
| Stöds av | Microsoft Corporation |
Exempel på frågor
Alla Prisma Cloud-aviseringar
PaloAltoPrismaCloudAlert_CL
| sort by TimeGenerated desc
Alla Prisma Cloud-granskningsloggar
PaloAltoPrismaCloudAudit_CL
| sort by TimeGenerated desc
Förutsättningar
Om du vill integrera med Palo Alto Prisma Cloud CSPM (med Hjälp av Azure Functions) kontrollerar du att du har:
- Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
- Palo Alto Prisma Cloud API-autentiseringsuppgifter: Prisma Cloud API Url, Prisma Cloud Access Key ID, Prisma Cloud Secret Key krävs för Prisma Cloud API-anslutning. Se dokumentationen om du vill veta mer om hur du skapar Prisma Cloud Access Key och om hur du hämtar Url för Prisma Cloud API
Installationsanvisningar för leverantör
Kommentar
Den här anslutningsappen använder Azure Functions för att ansluta till Palo Alto Prisma Cloud REST API för att hämta loggar till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.
(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.
Kommentar
Den här dataanslutningsappen är beroende av en parser baserad på en Kusto-funktion för att fungera som förväntat PaloAltoPrismaCloud som distribueras med Microsoft sentinel-lösningen.
STEG 1 – Konfiguration av Prisma Cloud
Följ dokumentationen för att skapa Prisma Cloud Access Key och hämta Url för Prisma Cloud API
Obs! Använd systemadministratörsrollen för att ge åtkomst till Prisma Cloud API eftersom endast systemadministratörsrollen tillåts visa Prisma Cloud Audit Logs. Mer information om administratörsbehörigheter finns i Prisma-molnadministratörsbehörigheter (paloaltonetworks.com).
STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen
VIKTIGT! Innan du distribuerar Prisma Cloud-dataanslutningsappen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande), samt Prisma Cloud API-autentiseringsuppgifter, som är lättillgängliga.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.